Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3203-1 tor

Debians sikkerhedsbulletin

DSA-3203-1 tor -- sikkerhedsopdatering

Rapporteret den:

22. mar 2015

Berørte pakker:

tor

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2015-2688, CVE-2015-2689.

Yderligere oplysninger:

Flere lammelsesangrebsproblemer er opdaget i Tor, et forbindelsesbaseret anonymt kommunikationssystem med lav latenstid.

• Jowr opdagede en meget høj DNS-forespørgselsbelastning på et relay, kunne udløse en assertionfejl.

• Et relay kunne gå ned med en assertionfejl, hvis en buffer med nøjagtigt det forkerte layout blev leveret til buf_pullup() på præcis det forkerte tidspunkt.

I den stabile distribution (wheezy), er disse problemer rettet i version 0.2.4.26-1.

I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 0.2.5.11-1.

Yderligere deaktiverer denne opdatering understøttelse af SSLv3 i Tor. Alle versions af OpenSSL, som anvendes med Tor i dag, understøtter TLS 1.0 eller senere.

Desuden opdateres med denne udgivelse geoIP-databasen, som anvendes af Tor, samt listen over directory-myndighedsservere, som Tor-klienter anvender til bootstrap og som underskriver Tors directory-koncensusdokument.

Vi anbefaler at du opgraderer dine tor-pakker.